云网牛站
所在位置:首页 > Linux安全 > 新Linux恶意软件Linux.BtcMine.174介绍及危害详情

新Linux恶意软件Linux.BtcMine.174介绍及危害详情

2018-11-24 10:52:10作者:linux人稿源:CNBeta站

Dr.Web 又发现了新的 Linux 恶意软件,定名为 Linux.BtcMine.174,它的脚本功能强大且复杂,危害性极大,本文将向你介绍 Linux.BtcMine.174 的相关详情及危害程序,以便 Linux 系统管理员做一防范。

 

背景

Linux 平台的恶意软件不比 Windows 平台那么普遍,但是也是存在的,而且它们正在变得越来越复杂、功能也更加多样。近日,俄罗斯反病毒软件厂商 Dr.Web 发现了一种新型木马。鉴于其没有特定的应用程序名,所以暂且用 Linux.BtcMine.174 来指代。与大多数 Linux 恶意软件相比,它的复杂程度明显要更高,因为其中包含了大量的恶意功能。

新Linux恶意软件Linux.BtcMine.174介绍及危害详情

 

Linux.BtcMine.174 危害详情

1、该木马本身是一个包含 1000 多行代码的巨型 shell 脚本,也是能在受感染的 Linux 系统上执行的第一个文件。

它所做的第一件事,就是寻找磁盘上某个具有写入权限的文件夹,这样它就可以复制自己、然后用于下载其它模块。

2、一旦木马在受害系统上站稳了脚跟,就会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个特权提升漏洞中的一种。

在获取了 root 权限之后,它就拥有了对操作系统的完整访问权限,然后该木马将自己设为本地守护进程。

3、如果程序尚不存在,它甚至可以自行下载 nohup 工具来实现这一点。在牢牢掌握了受感染的主机之后,它会继续执行其设计的主要功能,加密货币挖矿。

此外,它还会下载并运行另一款恶意软件,被称作比尔·盖茨木马的 DDoS 木马,后者亦带有许多类似的后门功能。

4、你以为这就完了?Dr. Web 指出,Linux.BtcMine.174 还会查找基于 Linux 的杀毒软件进程名称,并终止其执行。受害者包括:

safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets、以及 xmirrord 。

5、更加丧心病狂的是,恶意攻击者对此还不满意,甚至为自己制作了一份自动运行项文件,将之放到 /etc/rc.local、/etc/rc.d/、/etc/cron.hourly 等路径,下载并运行 rootkit 。

专家表示,该 rootkit 组件在功能上更具侵入性,能够窃取用户在使用 su 命令时输入的密码,并隐藏文件系统、网络连接、以及运行进程中的文件。

6、此外,Linux.BtcMine.174 会运行一个功能,收集有关受感染主机通过 SSH 连接的所有远程服务器信息、并尝试连接,以便将自身传播到更多的系统。

这种 SSH 自扩展机制,被认为是该木马的主要分发渠道。

7、因其还依赖于窃取有效的 SSH 凭据,意味着某些 Linux 系统管理员即便再小心、正确地保护其服务器的 SSH 连接、并且只允许特定数量的主机连接,他们也可能在不经意间感染其中一个、然后喜迎“恶意软件全家桶”。

 

解决对策

Dr.Web 已经在 GitHub 上提供了 Linux.BtcMine.174 各组件的 SHA1 文件哈希值,以方便系统管理员扫描他们的 Linux 系统是否存在这种相对较新的威胁。下面请对照截图中的 SHA1 文件哈希值(Dr.Web 在 GitHub 上提供 Linux.BtcMine.174 的 SHA1 文件哈希值截图):

新Linux恶意软件Linux.BtcMine.174介绍及危害详情

 

相关主题

使用Maldet检测和清除Linux中的恶意软件

精选文章
热门文章